- 漏洞名称Linux Kernel “Dirty Frag”
- 漏洞等级
- 影响版本包括 Ubuntu 24.04.4、Red Hat Enterprise Linux 10、CentOS 10 等操作系统
1. 检查模块是否已加载
lsmod | grep -E 'esp4|esp6|rxrpc'
2. 检查模块是否为内置(决定缓解措施中的 modprobe 黑名单是否有效)
grep -E 'CONFIG_INET_ESP|CONFIG_RXRPC' /boot/config-$(uname -r)
=y 为内置,黑名单无效;=m 为模块,黑名单有效
3. 检查 User Namespace 是否允许(影响 ESP 变体)
cat /proc/sys/kernel/unprivileged_userns_clone
# 1 = 允许(ESP 变体可能可利用);0 = 阻止
缓解措施
(1) 将 esp4、esp6、rxrpc 三个模块加入 modprobe 黑名单,阻止自动加载,并立即卸载已加载的模块(如果当前未被使用)
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf"sudo rmmod esp4 esp6 rxrpc 2>/dev/null ||true
注:该缓解措施可能会中断 IPsec(VPN)和 RxRPC(AFS 文件系统)。
同时,建议在未运行过漏洞 EXP 的机器上执行该缓解措施,否则可能会存在缓解措施失效的情况。
(2) 通过 sysctl 限制非特权用户创建 User Namespace 来阻断 ESP 变体
sysctl -w user.max_user_namespaces=0
注:该缓解措施会影响容器运行时(Docker、Podman 等依赖 User Namespace 的容器运行时),建议仅在非容器环境中使用。
漏洞参考
https://github.com/V4bel/dirtyfrag
xfrm-ESP Page-Cache Write 漏洞已被分配 CVE-2026-43284,并在主线代码库中修复,修复提交记录位于f4c50a4034e6。RxRPC Page-Cache Write 漏洞已被保留为 CVE-2026-43500 以便跟踪;目前任何树中都没有补丁。